セキュリティコードは偽造カードはスキミング防止を目的としたもの
セキュリティコードの呼称
セキュリティコードは、厳密にはVisaやMasterCardなどブランドによりそれぞれ呼称が異なりますが、これらを総称してセキュリティコードと呼ばれています。
- Visa – Card Verification Value (CVV または CV2 と略されます)
- MasterCard – Card Verification Code (CVC と略されます)
- American Express – Card Identification Number (CID) *裏面ではなく、表面のカード番号の右上に掲載されている
- JCB / Diners / Discover – セキュリティコード
セキュリティコードの歴史
しばしば混同される事もある、3-DSecureによる本人認証とセキュリティコードによる認証ですが、実はセキュリティコード、インターネット決済の普及より前に、別の目的を持ったセキュリティ対策として設置されました。
セキュリティコードがカードに搭載された目的は、スキミングに起因するカード不正使用対策です。
90年代後半にスキミングによる偽造カードの被害が世界中で増加し、日本でも2002年における偽造カード不正使用金額は年間累計165億円に上りました。これに対する措置としてMasterCardは1997年、VISAは2001年にセキュリティコードの搭載を決めました。
スキミングではカードの磁気ストライプに保存されたカード情報を抜き取る手法ですが、カードに印字されたセキュリティコードはスキミングにより取得する事ができないため、非対面決済における対策として効果がありました。さらに2001年6月に刑法が改正され、偽造カードを保持しているだけで刑罰対象になった事で、スキミングによる不正使用は2002年の被害金額165億円をピークとし、以後は徐々に衰退します。
スキミングの手口や事例
スキミング被害の手口として多かったものは、飲食店など対面店舗において、会計を行う飲食店スタッフがレジ裏で隠れてスキミング端末にカードをスワイプすることで、カード番号等の情報を不正に搾取し、これらが不正利用者の手に渡り、偽造カードを作られる被害がほとんどでした。
2000年以降になると、ATMなどにスキミング機器を取り付ける事による被害が比較的目立つようになります。特に海外では、道に面した歩道沿いにATMが備え付けられている事も多く、夜間帯は人通りもまばらになります。ここにスキミングの装置を取り付けられてしまっても、利用者はもちろん気が付かず、発見された時にはすでに多くのカード情報等が抜き取られた後であった、というケースがほとんどです。
▲海外のATMの一例。日本ではあまり見かけないが、通りに面した建物に埋め込まれたもの。夜から明け方にかけては、人の通りが少なくなるため、以下に紹介する様なスキミング機器が付けられてしまっても、気が付く事は難しい。
▲アメリカ・ニューヨークで発見されたスキミング機器の紹介写真。カード挿入口に、一見しただけではそれが本来のATMのカード挿入口であるかの様にカムフラージュされている。
▲上の写真と比べて大胆な手口ではあるものの、実際にあったスキミング機器の設置事例。ATMの全面をスキミング機器で覆ってしまうタイプのもの。これら以外にも、壁面にカメラを隠した箱を取り付ける事例なども。
セキュリティコードの実装、どこまで効果があるのか
経済産業省の「実行計画2017」では、カード情報の非保持・非通過対応が謳われており、多くのEC事業者はPCI DSSの認証取得の代替策として、PCI DSSに準拠したシステム環境を用意する決済代行会社にカード番号を預ける体制へと、徐々に移行が進んでいます。
カード番号を決済代行会社に預ける事によって、各EC事業者でのセキュリティ環境は一歩前進する一方で、セキュリティコードや3-D Secureなど既存のセキュリティ対策の実装に対し、コンバージョンへの影響が懸念され、導入ハードルが発生してしまうケースが散見されるようになりました。
これらのセキュリティ対策の位置づけ、役割や導入効果を以下に解説していますので、ご参照ください。
